В PSN обнаружили серьёзную уязвимость: для взлома достаточно номера счёта и имени пользователя

Инцидент со взломом учётной записи PlayStation Network (PSN) французского журналиста выявил серьёзную уязвимость в системе безопасности, которая может угрожать многим пользователям.

Многие владельцы аккаунтов PlayStation сталкивались со взломами. Некоторым удаётся восстановить доступ, другим приходится оставлять годы игрового прогресса и заводить новый аккаунт. Интересно, что некоторых пользователей взламывают повторно при попытке восстановления, и теперь, возможно, найдена причина.

Аккаунты PlayStation Network можно взломать, имея только номер счёта и имя пользователя

Журналист французского издания Numerama обнаружил серьёзный изъян в безопасности PSN. В отчёте детально описан случай, когда аккаунт журналиста был взломан, несмотря на защиту двухфакторной аутентификацией (2FA). Злоумышленник изменил привязанный к учётной записи email и списал 9.99 евро (~900 руб.) за смену имени пользователя. Журналисту удалось вернуть аккаунт, позвонив в поддержку, но самое интересное — информация, которая для этого потребовалась.

Как выяснилось, после разговора с оператором для восстановления доступа ему нужно было назвать только имя пользователя PSN и номер транзакции со старого счёта — год выставления счёта не имел значения. С этими данными аккаунт был восстановлен, однако уже через час его взломали снова. На этот раз дозвониться в поддержку PSN не удалось, и пользователь решил напрямую связаться со взломщиком, написав ему со своего нового аккаунта на старый.

Взломщик, что удивительно, пошёл на контакт и объяснил, что получил доступ к аккаунту журналиста «используя номер транзакции, который вы опубликовали на одной странице». Оказалось, что журналист когда-то разместил изображение одного из своих счетов в старой статье, и этой информации хватило для взлома PSN. Злоумышленник также заявил, что «написал приложение» для доступа к серверам Sony, но это утверждение не проверено, так как обещанное видео так и не было опубликовано.

В итоге журналист снова обратился в поддержку PlayStation, выразил опасения по поводу безопасности своего аккаунта, после чего ему задали стандартные вопросы: дата рождения, исходный email и оригинальное имя пользователя. На данный момент его запрос находится на рассмотрении, аккаунт, по-видимому, заблокирован, а ответа следует ждать от 5 до 10 дней.

Этот случай поднимает важные вопросы о процедурах восстановления доступа в крупных игровых сервисах. Интересно, что подобные уязвимости, связанные с использованием публичной информации из старых транзакций или чеков, ранее уже фиксировались в других онлайн-сервисах, что говорит о необходимости более строгих протоколов верификации личности.